Альтернативы привязке IP-сессии

Question

Я не уверен, что идея связывания IP с сессиями является хорошей.

Какие есть альтернативы?

В настоящее время у меня есть следующее:

• Браузер отправляет идентификатор сеанса
• Сервер проверяет, не истек ли сеанс

Но что, если третья сторона каким-либо образом узнает идентификатор сеанса?Должен ли я заботиться об этой возможности?Привязка сеанса к IP усложнит такую ​​подделку сеанса, но есть случаи, когда несколько пользователей могут появляться с одним и тем же IP.

Я не понимаю!(

Answer 1

НИКОГДА написать свой собственный обработчик сеанса, использовать все, что поставляется с вашей платформой. Ограничение IP-адреса не очень хорошая идея. IP-адреса меняются по законным причинам, например, если пользователь находится за балансировщиком нагрузки. Более того, что, если они являются бесплатной сетью Wi-Fi? Тогда каждый получает доступ.

Answer 2

Я предпочитаю связывать пользовательский агент вместо IP по причинам, указанным выше.Привязка к пользовательскому агенту усложняет воспроизведение cookie.

SSL отлично подходит для предотвращения атаки «человек посередине», но это не волшебное решение, «защищающее все».Если ваш веб-сайт уязвим для XSS, файлы cookie являются небезопасными (и, соответственно, идентификатором сеанса).

Также: следите за фиксацией сеанса.